01
Модуль 1: Введение в Command Injection
child_process.exec, exec vs execFile, опасности shell
- 1. Command Injection в Node.jsPro
- 2. Обзор методов защитыPro
- 3. Тест: Основы Command InjectionPro
Путь nodejs 6 модулей
Node.js Command Injection: От exec до eval
Курс по инъекциям команд в Node.js/Express. Изучите child_process.exec, обход фильтров, blind injection и eval(). Практикуйтесь на 4 лабах с уникальными методами защиты.
02
Модуль 2: Базовая инъекция команд
exec('ping ' + input) и разделители команд
- 1. Базовая инъекция через exec()Pro
- 2. Защита: execFile() без shellPro
- 3. Тест: Базовая инъекцияPro
- 4. Практика: Базовая Command InjectioneasyPro
03
Модуль 3: Обход фильтров
$(), backtick и альтернативные разделители
- 1. Техники обхода фильтровPro
- 2. Защита: Allowlist и regexPro
- 3. Тест: Обход фильтровPro
- 4. Практика: Filter BypasshardPro
04
Модуль 4: Blind Command Injection
Timing, DNS OOB, файловые каналы
- 1. Blind Command InjectionPro
- 2. Защита: execFile и строгая валидацияPro
- 3. Тест: Blind InjectionPro
- 4. Практика: Blind Command InjectionmediumPro
05
Модуль 5: eval() Injection
eval(), Function(), vm.runInNewContext -- выполнение JS-кода
- 1. eval() и Code InjectionPro
- 2. Защита: JSON.parse и безопасные парсерыPro
- 3. Тест: eval() InjectionPro
- 4. Практика: eval() InjectionhardPro
06
Модуль 6: Итоговый обзор и автоматизация
Сравнение методов защиты, реальные CVE, Defense-in-Depth, SAST/DAST/CI-CD
- 1. Сравнение методов защиты и реальные CVEPro
- 2. Defense-in-Depth: многослойная защитаPro
- 3. Автоматизация: SAST, DAST, CI/CDPro
- 4. Финальный тест: Command InjectionPro